kalaclista personal instance

ところでもうそろそろスマホを充電しないとバッテリーが尽きそう（今スマホで色々書き込んでいる）

まぁ私は一度でも「あ、これは無理」ってなったら直ぐにケリをつける算段を立てて抜けるタイプなので、まーそう言う感じのことには巻き込まれたら即抜けするのは確かかなー

KADOKAWA のランサムウェアの一件、一応自分はN高の卒業生なのでモロに巻き込まれており、かつ成人後の入学だったので、下手に住所氏名 + 顔写真が流出していると、いい加減なeKYCをやっているところに登録されかねない、と言うリスクがある

libvirtで3d accelerationを有効にするとglitchする件、どうもspiceが原因だと分かった、と言うのもsdlやgtk displayでは問題が出なかったので、多分コイツが何かをしくじっている

AppArmor、NixOSで使う場合どうやって事始めしたらいいのかサッパリ分からん

AppArmor、基本的にすべてのディレクトリでネットワークアクセスを禁じて、特定のソフトウェア + ディレクトリにのみネットワーク接続を許可する、とか出来そう……？

LinuxのAppArmorについて調べていた

イントラネット・ローカルネットに侵入される前提で物事を考えた時、侵入者がランサムウェアで攻撃しようと思うと、何かしらの実行アプリケーションをネットワーク内に設置する必要があるはずで、その場合、防衛手段は「任意のアプリケーションを実行できる」と言う環境を構築しない、と言う事に限られる

そしてこの 「任意のアプリケーションを実行できる」環境を構築しない と言う事を実現しようとする場合、ファイルシステムに noexec を付けるだけではだめで、スクリプトをコマンドから実行できる bash や perl といった物も含めて禁止する必要がある（ noexec を付けていてもスクリプトは $ bash ./script.sh で実行できるため）

しかし現実として 任意のスクリプトすら実行できない環境 っていうのは、それこそワンバイナリだけが存在するコンテナイメージぐらいでしか用意できないので、日常利用する環境として整備するのは現実的ではない

となると VMレベルで隔離するしかないんだけど、GUIアプリケーションやファイルシステムも含めてすべてをVM化する事は汎用的なOSでは非常に困難だし、それを一から構築するもの非現実なので、結果としてQubes OSを使え、って言う話になる

まぁQubes OSは使った事が無いんで、この解釈で合ってるかどうかは明言できないけど、私としては基本的にはこういった解釈になった感じですね、まぁ侵入されないのが一番なんだけど……

https://www.qubes-os.org/

ランサムウェアの攻撃力を極力下げるにはどうしたら良いか、みたいなことを考えていたら、最終的にはすべてにおいてQubes OSを使え！と言う感じになった

Qubes OSの世界観って信頼レベルで動作環境をVMで分ける、という感じなんだけど、確かにこれだとランサムウェアに侵入されても悪さできる範囲が限られるから、不適切な信頼レベルの分けかたをしていない限り、外部からの攻撃には強そう

https://www.qubes-os.org/

libvirtを使ってspice+virtio-gpuでOpenGLによる3d Accelerationを有効にするとBIOS画面からGlitchするんだけど、何が原因なんだろ……